全球大型電信公司陸續拒絕華為參與5G建設,雖然至今沒有確鑿證據顯示華為有安全風險,但有專家認為,因為5G乃高端技術,攻擊者可能從最前端的供應鏈處下手,現實上根本難以查覺或堵塞當中的漏洞。
有人說是美國忌憚中國崛起才打擊華為,也有人說華為和中國政府緊密相連,其設備當然會被用來從事間諜活動。但總的來說,把兩個因素交織在一起,都有道理。
5G的安全風險在哪裡?CBC報道,情報機構和電信公司特別關注供應鏈遭攻擊的問題。這代表攻擊者不是攻擊核心網絡,卻選擇對一塊硬件或軟件進行惡意修改,讓中途的信息完全失控或失真。由於公司與電信供應商之間的信任度很重要,攻擊供應鏈就可打擊信任關係。
5G技術用於各種尖端應用,例如自動駕駛汽車、遠程操作醫療機械人等,其更快的速度發送和接收數據,讓人難以察覺延遲性。所以另一個國家或黑客透過先進的5G技術,就可以像特洛伊木馬一樣潛入前門,直接攻擊最前端的硬軟件,並不需要盜取密碼、黑入電腦才能達到目的;又因為速度太快,所以即使被黑了,也難以即時查覺。
不需密碼也可黑入電腦
去年《彭博商業周刊》援引六位未具名的現任和前任國家高級安全官員的話說,一家名為SuperMicro的美國公司的電腦組件(包括蘋果和亞馬遜在內的近30家公司都有使用),在中國工廠生產過程中就被巧妙地修改過。當然,蘋果、亞馬遜和美國情報部門都否認這些指控。
但有些案例已證實,攻擊者成功地在流行的應用程式中開了「後門」,例如個人電腦的維護機制CCCleaner和文件共享應用程式Transmission,都在創建者不知情的情況下,遭黑客動了手腳。
最臭名昭著的案件涉及名為NotPetya的俄羅斯鏈接勒索軟件,該軟件偽裝成烏克蘭廣泛使用的會計軟件M.E.Doc的合法更新軟件。沒過多久,NotPetya就讓許多烏克蘭企業癱瘓,幾家大公司包括航運巨頭馬士基(Maersk)、製藥大廠默克(Merck)、聯邦快遞的子公司等全部中招。
英國和加拿大政府都試圖降低供應鏈攻擊的問題,不僅是針對華為,而是任何電信設備製造商。加拿大通信安全機構自2013年開始,就實施安全審查計劃。聲明指「補強當前3G/4G/LTE中的供應鏈漏洞,幫助降低網絡間諜和中斷的風險環境。」該機構提到,可以經過漏洞和後門測試來檢驗管理華為公司的技術,防堵其潛在風險。
有些人認為這是一種「要通過驗證的信任」,但有些人根本不相信驗證能起到作用。
美國官員多次對加拿大的保障驗證措施提出質疑。本周美國司法部起訴華為公司高管,還公布調查證據,指稱華為員工只要成功竊取商業機密,就可以獲得獎金報酬。英國情報機構GCHQ的前安全顧問伍德沃德曾在英國國家安全委員會上提到「技術只能驗證基礎設施和關鍵位置的內容,不可能驗證所有生產線上和進入網絡的內容。」
美國10年前一份機密文件中,提到中國政府操控其電信公司。華為稱,若美國認為其設備有「後門」,應拿出證據。
綜合報道
